Virginie Liebermann
Counsel – MOLITOR Avocats à la CourArticle rédigé par MOLITOR Avocats à la Cour dans le cadre de leur sponsoring de l’ACA Insurance Days 2022.
Dans le cadre d’une police d’assurance cyber-risques, les experts en droit des assurances au sein de MOLITOR Avocats à la Cour présentent les raisons pour lesquelles les amendes administratives émises par la Commission nationale pour la protection des données seraient à considérer comme des sanctions pénales, donc inassurables, en l’état actuel du droit luxembourgeois.
Les exemples récents de cyberattaques ne manquent pas[1] et la pandémie de COVID-19 ainsi que le conflit russo-ukrainien ont assurément constitué un terrain privilégié pour les cybercriminels[2]. Si de telles attaques peuvent se révéler dévastatrices pour une entreprise et paralyser son fonctionnement, elles peuvent également s’accompagner de violations de données à caractère personnel au sens du Règlement général sur la protection des données[3] (RGPD) susceptibles de donner lieu, d’une part, à une enquête sur la protection des données personnelles effectuée par l’autorité administrative compétente et, d’autre part, à des sanctions pécuniaires à l’issue de cette enquête.
Ainsi, au Luxembourg, la Commission nationale pour la protection des données (CNPD) dispose notamment[4] du pouvoir de prononcer des amendes administratives considérables en cas de violation de la réglementation applicable en matière de protection des données, dont les montants peuvent s’élever jusqu’à 20 millions d’euros voire 4 % du chiffre d’affaires annuel d’une entreprise, étant entendu que le montant le plus élevé sera dans ce cas retenu[5].
Face à l’importance de ces montants et à l’enjeu économique qu’ils représentent pour les entreprises, la question de l’assurabilité de telles amendes présente un intérêt pratique certain. Ainsi, si l’on peut constater le développement de contrats d’assurance dits « cyber risques » dont l’objet va bien au-delà de l’indemnisation des dommages subis par l’assuré et/ou causés à des tiers, mais vise également à offrir une véritable solution de gestion de crise, l’analyse des clauses existantes démontre une certaine hésitation de la part des assureurs à offrir leur couverture en présence de sanctions pécuniaires prononcées par une autorité administrative.
À titre illustratif de cet état d’esprit, nous reproduisons ci-dessous un extrait des conditions générales d’une assurance cyber risques émise par un assureur luxembourgeois concernant cette question :
« SANCTION PECUNIAIRE PRONONCEE PAR UNE AUTORITE ADMINISTRATIVE
L’assureur paie à ou au nom de l’assuré toutes les sanctions pécuniaires prononcées par une autorité administrative qui sont légalement assurables sur base de la législation la plus favorable à l’assuré que l’assuré est légalement tenu de payer après l’achèvement d’une enquête sur la protection des données personnelles effectuée par une autorité administrative, résultant d’une infraction à la législation sur la protection de la vie privée ».
En se référant, dans le contexte des amendes prononcées par une autorité administrative, à une expression telle que « qui sont légalement assurables sur base de la législation la plus favorable à l’assuré », l’assureur entend ainsi se prémunir à l’encontre d’une législation, voire d’un courant jurisprudentiel, qui viendrait consacrer l’inassurabilité de telles sanctions.
La question de savoir si l’hésitation des assureurs est fondée implique ainsi de s’intéresser aux textes applicables et à la jurisprudence y relative.
Le contrat d’assurance est régi en droit luxembourgeois par la loi modifiée du 27 juillet 1997[6] qui, elle-même, trouve son origine dans la loi belge du 25 juin 1992 sur le contrat d’assurance terrestre[7]. En l’occurrence, il y a lieu de constater qu’aussi bien la loi luxembourgeoise que belge restent muettes quant à la question de l’assurabilité des amendes administratives.
Seul le principe de l’inassurabilité des sanctions pénales y est expressément prévu à l’article 97[8] qui stipule qu’ « aucune amende ni transaction pénale ne peuvent faire l’objet d’un contrat d’assurance, à l’exception de celles qui sont à charge de la personne civilement
responsable ».
Cette interdiction d’assurer de telles amendes est d’ordre public et découle de l’article 6 du Code civil luxembourgeois qui prévoit qu’ : « On ne peut déroger, par des conventions particulières, aux lois qui intéressent l’ordre public et les bonnes mœurs ». Comme l’exprime en effet clairement la doctrine spécialisée, « Lorsque, traditionnellement, on explique que l’assurance ne peut aller à l’encontre des sanctions pénales, c’est qu’en ce cas, elle remettrait en cause la portée personnelle des sanctions pénales, lesquelles relèvent d’un ordre public incarné ici par les décisions du service public de la justice. (…) Les amendes prononcées par une juridiction pénale, ainsi que les frais qui y sont relatifs, ne sont jamais pris en charge par les assurances, car il existe une interdiction d’ordre public d’indemniser les dettes pénales. En effet, celles-ci sont personnelles et sont donc attachées à la personne condamnée qui ne peut que seule la payer »[9].
C’est également en se basant sur ce même fondement de contrariété à l’ordre public que la jurisprudence et la doctrine majoritaires concluaient traditionnellement à l’inassurabilité de principe des sanctions administratives.
En la matière, deux arrêts de la Cour de cassation française[10] ont pu toutefois être interprétés par certains auteurs français[11] comme ayant apporté une nuance à cette vision catégorique : suivant ces auteurs, l’ordre public ne serait ainsi plus le fondement à prendre en compte afin d’exclure le cas échéant le caractère assurable de telles amendes mais il s’agirait plutôt, dans le cadre de l’arrêt de 2012, du critère de l’intentionnalité de l’acte posé et, dans le cadre de l’arrêt de 2019, du critère de la connaissance du sinistre dans le chef de l’assuré avant la conclusion du contrat d’assurance. En d’autres termes, en application de cette jurisprudence, les sanctions administratives ne seraient « plus inassurables per se, mais elles ne le seraient que si l’acte qui y a donné lieu a été posé de manière intentionnelle. On pourrait alors envisager une police qui stipulerait couvrir uniquement les sanctions administratives qui ne découleraient pas d’une faute intentionnelle. Il est en effet théoriquement possible d’avoir une sanction administrative sans faute intentionnelle »[12]. Dans cet esprit, seraient ainsi assurables les amendes administratives pour autant que l’infraction ayant donné lieu à de telles sanctions ne soit pas intentionnelle, respectivement que l’assuré n’ait pas eu connaissance des faits dommageables ayant donné lieu à la procédure administrative avant d’avoir conclu le contrat d’assurance.
D’autres auteurs[13] rejettent fermement d’accorder une telle portée à ces arrêts : « Dans ces deux arrêts ce sont donc bien des questions d’assurance (faute intentionnelle, connaissance du sinistre) qui ont été traitées ; mais la question de fond de la validité de l’assurance d’une sanction administrative n’a jamais été évoquée et n’a donc pas reçu de réponse. Il ne semble pas possible (…) de pouvoir interpréter ces arrêts dans le sens d’une assurabilité possible des sanctions administratives fondées sur des fautes non intentionnelles. En l’état du droit, il convient donc de conclure au caractère inassurable des amendes administratives et de toute sanction pécuniaire. Une clarification des textes dans le sens d’une inassurabilité de ces sanctions pécuniaires administratives parait souhaitable pour mettre un terme aux incertitudes qui demeurent dans beaucoup de contrats d’assurances envisageant une assurabilité des sanctions administratives, mais dans la limite permise par la loi ».[14]
Alors que le Luxembourg n’a, à notre connaissance, pas connu de débat similaire tant en doctrine qu’en jurisprudence, une vision d’ouverture, telle que défendue par certains auteurs français, en faveur de l’assurabilité sous certaines conditions des amendes administratives ne nous semble pas devoir automatiquement être rejetée à la lecture de la loi luxembourgeoise sur le contrat d’assurance dans la mesure où, ainsi que nous l’avons vu précédemment, la loi ne régit aucunement la question de l’assurabilité des sanctions administratives. Elle déclare néanmoins inassurables les conséquences d’une faute intentionnelle ou dolosive en édictant que « Nonobstant toute convention contraire, mais sans préjudice de l’article 103 point 1, l’assureur ne peut être tenu de fournir sa garantie à l’égard de quiconque a causé le sinistre d’une manière intentionnelle ou dolosive »[15]. De même, elle conclut à la nullité du contrat d’assurance lorsque, au moment de la conclusion du contrat, le risque s’est déjà réalisé[16].Le défaut d’aléa en présence d’une faute intentionnelle ou dolosive ainsi qu’en cas de connaissance du sinistre antérieure à la conclusion du contrat explique la sanction du législateur.
Même à bien vouloir considérer que la Cour de cassation française ait voulu ouvrir la voie et plaider en faveur de l’assurabilité de certaines amendes administratives ou, à tout le moins, du rejet de l’inassurabilité systématique de telles sanctions, il nous semble qu’un autre élément doit être pris en compte avant de pouvoir aboutir à une conclusion pertinente concernant le cas particulier des amendes prononcées par la CNPD.
En effet, comme nous l’avons indiqué ci-avant, le droit luxembourgeois consacre l’inassurabilité de principe des sanctions pénales. Dès lors, si par sa nature la sanction prononcée par la CNPD devait présenter un caractère pénal ou quasi pénal, elle ne pourrait nécessairement pas faire l’objet d’une couverture assurantielle.
Aux termes du RGPD, il est nécessaire que les sanctions prévues soient « effectives, proportionnées et dissuasives » (article 83 et 84 du RGPD
Il n’existe, à notre connaissance et à ce jour, aucun texte normatif ni jurisprudence qui traiterait spécifiquement du caractère (quasi)pénal ou non d’une amende administrative prononcée par la CNPD[17].
Afin de déterminer si une sanction administrative – telle que celle prononcée par la CNPD – présente ou non un caractère (quasi)pénal, l’analyse des critères dits « Engel » dégagés par la Cour européenne des droits de l’homme[18] et utilisés afin de déterminer, d’une part, ce qui relève effectivement d’une accusation en matière pénale et, d’autre part, quel est le champ d’application du principe ne bis in idem[19], nous semble alors pertinente. Ces critères, qui sont au nombre de trois, sont les suivants :
À cet égard, nous ne pouvons que nous rallier à l’analyse faite par la doctrine s’agissant du RGPD : « comme l’explique la doctrine se basant notamment sur la jurisprudence Grande Stevens c. Italie de la Cour européenne des droits de l’homme, les sanctions prévues dans le Règlement répondent à ces trois critères, puisque les sanctions sont des sanctions administratives selon le Règlement, elles ont vocation à avoir un effet dissuasif et répressif et à protéger l’intérêt général, et les montants des amendes traduisent une sévérité indéniable.
Ces éléments convainquent à suffisance de la nature pénale des sanctions prévues par le Règlement, à tout le moins des amendes. Il en découle que les amendes administratives prononcées par la CNPD devront se voir appliquer certaines des garanties procédurales applicables en matière pénale (…) »[20].
Les mesures financières prononcées par la CNPD, en ce qu’elles répondent aux trois critères Engel et, partant, présentent un caractère pénal, doivent donc être soumises aux mêmes règles et principes que ceux régissant les sanctions pénales. Ceci nous amène alors à conclure à leur caractère inassurable en l’état actuel du droit luxembourgeois[21].
[1] Agence nationale de la sécurité des systèmes d’information (ANSSI), PANORAMA DE LA CYBERMENACE 2022, disponible sur www.cert.ssi.gouv.fr, janvier 2023 ; I. VERGARA, « France, Italie, Finlande, États-Unis… Une campagne de cyberattaques affecte plusieurs pays », Le Figaro, disponible sur www.lefigaro.fr, 5 février 2023.
[2] INTERPOL, Rapport « Cybercriminalité : impact du COVID-19 », disponible sur www.interpol.int, 19 août 2020 ; « Panorama mondial de la cybermenace liée au COVID-19 », disponible sur www.interpol.int, avril 2020 ; D. VENTRE, H. LOISEAU, « Évolution du crime et du cybercrime durant la pandémie de coronavirus », in Cahiers de la Sécurité et de la Justice, n°50 – Janvier 2021 – Penseurs et acteurs de la sécurité.
[3] Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.
[4] Voy. l’article 58 du RGPD pour une liste complète des pouvoirs accordés aux autorités de contrôle. Voy. en outre le Règlement CNPD relatif à la procédure d’enquête adopté par décision n- 4AD/2020 en date du 22 janvier 2020, en application de l’article 40 de la loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données.
[5] Article 83, § 5 du RGPD.
[6] Loi du 27 juillet 1997 sur le contrat d’assurance, Journal Officiel du Grand-Duché de Luxembourg, Mémorial A, n° 65, p. 2048.
[7] Actuellement, loi du 4 avril 2014 relative aux assurances.
[8] Article 91 de la loi belge.
[9] N. HÉLÉNON et C. HESLAUT, « Données personnelles : sur l’assurabilité des sanctions administratives », Expertises, mai 2017, pp. 180 et s.
[10] Cass. fr. civ. 2e, 14 juin 2012, pourvoi n° 11-17.367, Revue des sociétés 2012, p. 637, et la note ; Gaz Pal. n° 179-180, note B. Dondero ; JCP E, 2013 n° 36, pp. 30-31, obs. M. Asselain ; RTD com. 2012, p. 813, note N. Rontchevsky ; Cass. fr. civ. 2e, 13 juin 2019, n° 17-26.171, Rev. Sociétés 2020, p. 103.
[11] Voy. J. KULLMANN : « Amendes pénales et amendes administratives infligées aux dirigeants : pour une assurance raisonnée », JCP Entreprises, 2009, n° 10, p. 1226 ; M. ROBART et A. FRENEAU, « Les sanctions pécuniaires à la limite de l’assurabilité », in L’Argus de l’Assurance, nov. 2012, p. 46, cités par A.-F. BOUVIER, « La sanction pécuniaire de l’AMF est inassurable : note s/ Paris, 14 février 2012 », in Revue de jurisprudence commerciale – Les Cahiers du Chiffre et du Droit – Septembre / Octobre 2013 – Numéro 5, p. 5.
[12] C. LEERMAKERS, « L’arrêt du 14 juin 2012 de la Cour de cassation française », disponible sur www.newsletter.cms-db.info, juin 2014.
[13] Voy. Lamy Droit des Assurances 2013 § 2101 et s., L. GRYNBAUM : note sous Cass. Civ 2ème 14 juin 2012, in Rev. Sociétés, nov. 2012, p. 639 , cités par A.-F. BOUVIER, op. cit.
[14] HAUT COMITÉ JURIDIQUE DE LA PLACE FINANCIÈRE DE PARIS, rapport sur l’assurabilité des risques cyber, 28 janvier 2022, pp. 14 et s.
[15] Article 14, alinéa 1er de la loi du 27 juillet 1997.
[16] Article 32, alinéa 1er de la loi du 27 juillet 1997.
[17] Lors de notre analyse, nous avons identifié plusieurs décisions desquelles il ressort que (i) la décision prise par le directeur de l’administration de l’emploi d’infliger à un employeur une amende d’ordre dont le montant varie entre 251 à 2.500 euros pour non-respect de ses obligations déclaratives de tout poste de travail à l’Administration de l’emploi est d’ordre administratif et non d’ordre pénal (Tribunal d’arrondissement de Luxembourg, 21 octobre 2010, n° not.2054/09 ; 3431/2010), (ii) l’amende prononcée par l’Administration de l’Enregistrement et des Domaines à l’encontre d’une société pour non-respect des obligations professionnelles lui incombant en vertu de la législation relative à la lutte contre le blanchiment d’argent ne relève pas du droit pénal (Tribunal d’arrondissement de Luxembourg, 10 décembre 2015, n° not.4935/15/CD ; 3508/2015), (iii) l’inobservation des règles de conduite du secteur financier est susceptible d’entrainer des sanctions administratives mais cette violation n’entraine pas de sanctions pénales (Chambre du Conseil de la Cour d’appel, 10 juillet 2014, n° not.33190/12/CD ; 487/14 Ch.c.C.).
[18] Ces critères ayant également été repris par la Cour de justice de l’Union européenne ; voy. notamment CJUE, 5 juin 2012, Łukasz Marcin Bonda, aff. C-489/10 ; CJUE, 26 février 2013, Åklagaren c. Hans Åkerberg Fransson, aff. C-617/10 ; CJUE, 20 mars 2018, Luca Menci, aff. C-524/15 et CJUE, 20 mars 2018, Garlsson Real Estate SA, en liquidation, Stefano Ricucci, Magiste International SA c. Commissione Nazionale per le Società e la Borsa (Consob), aff. C-537/16.
[19] Voy. en ce sens : M. MARTY, « Le principe ne bis in idem ou la quête de l’immunité pénale », in Le risque pénal du banquier, Limal, Anthemis, 2020, p. 46.
[20] E. Guissard, « Le risque pénal du banquier en matière de protection des données personnelles », in Le risque pénal du banquier, op. cit., pp. 259 et 260. . En ce sens : S. PARSA, « La protection des données à caractère personnel entre sanctions administratives et pénales : une dépénalisation « pénalisante » ? », op. cit., pp. 96 et s.
[21] Voy. en ce sens en droit belge : Y. POULLET, La vie privée à l’heure de la société numérique, coll. CRIDS, Bruxelles, Larcier, 2019, p.157, note de bas de page n° 156. Voy. en ce sens en droit français : HAUT COMITÉ JURIDIQUE DE LA PLACE FINANCIÈRE DE PARIS, op. cit., p. 15.
Virginie.liebermann@molitorlegal.lu